21.01.2022 Персональные данные – «новая нефть» АГ

Материал выпуска № 2 (355) 16-31 января 2022 года.

В статье указано на несовершенство правового регулирования обработки персональных данных, проанализирована судебная практика, разъяснения Роскомнадзора, прошлогодние изменения в Законе о персональных данных, вызвавшие на практике много вопросов, рассмотрены основные ошибки правоприменения.

Согласно исследованию Cisco за 2020 г. «From Privacy to Profit: Achieving Positive Returns on Privacy Investments» на каждый 1 доллар, потраченный организацией на вопросы приватности, компании получают возврат инвестиций в размере 2,70 долл.

Указанные показатели наглядным образом демонстрируют, что вопрос об обработке персональных данных уже давно вышел за пределы рассуждений о значении соблюдения прав человека в современном мире и их видоизменении и стал реальным инвестиционным инструментом, обеспечивающим экономический рост.

При этом, если продолжать проводить аналогию с инвестициями, оборот персональных данных приносит максимальную «доходность» лишь в условиях «благоприятного инвестиционного климата», который в нашем случае зависит от эффективного непротиворечивого и понятного правового регулирования, от адекватного правоприменения таких норм на всех уровнях, а также от высокого уровня правосознания всех участников правоотношений.

Фактический оборот персональных данных в Российской Федерации при текущем уровне правового регулирования составляет 890 млн руб. ВВП, в то время как возможности российского рынка уже сейчас позволяют получать от оборота данных доход в размере 50 млрд руб. ВВП. К 2023 г. рынок данных в Российской Федерации может обеспечивать до 700 млн руб. ВВП1.

Экономический рост за счет расширения новых рынков цифровой экономики (к которым относится и оборот персональных данных) является одним из приоритетных направлений внутренней политики Российской Федерации. Так, распоряжением Правительства РФ от 28 июля 2017 г. № 1632-р утверждена и действует национальная программа «Цифровая экономика Российской Федерации», рассчитанная до 2024 г., с бюджетом 1625142 млн руб., ее реализация во многом предопределяет развитие законодательства и формирование правоприменительной практики в сфере защиты информации и обращения с персональными данными.

Правовое регулирование персональных данных носит «сквозной» характер и проникает во все сферы правоотношений, а наличие средств принуждения в виде существенных административных штрафов за нарушение законодательства о персональных данных приводит к тому, что законодательные условия, запреты и ограничения в работе с данными становятся одной из отправных точек для выстраивания процессов юридического сопровождения компаний. В связи с этим понимание особенностей функционирования законодательства о персональных данных является неотъемлемым навыком современного юриста.

Несовершенство правового регулирования

Вместе с тем знание данной специфики осложнено несовершенством правового регулирования, которое не восполняется правоприменительной практикой. Фактически многие вопросы, связанные с персональными данными, разрешаются ситуативно и с применением общего риск-ориентированного подхода.

Институт персональных данных в Российской Федерации не нашел своего места в системе гражданских прав. Так, персональные данные фактически являются информацией, но не являются объектом гражданских прав (они были специально выведены из правового регулирования ГК РФ в результате целенаправленного удаления из ст. 128 при разработке проекта изменений). При этом фактически данные собираются, приобретаются, обмениваются в результате гражданско-правовых сделок (природа которых требует отдельного изучения). Попытки создать особое правовое регулирование привели к многочисленным коллизиям с гражданско-правовыми институтами и к злоупотреблениям в правоприменении (например, недобросовестные участники гражданского оборота стали пользоваться нормами о защите персональных данных, подавая иски, фактически связанные с правом гражданина на имя, правом на использование изображения, с авторскими правами и т.д.). До настоящего времени граница между пересекающимися правовыми институтами не проведена.

Не ясен и статус обладателя персональных данных, что фактически выводит в «серую» зону все вопросы оборотоспособности персональных данных на условиях гражданско-правовых сделок. Определенный Законом об информации статус обладателя информации не позволяет в полной мере применить его к правоотношениям по обороту персональных данных. Так, в постановлении Конституционного Суда РФ от 26 октября 2017 г. № 25-П отмечено: «Цель, которую преследовал федеральный законодатель, вводя понятие “обладатель информации”, заключается в описании – по аналогии с гражданско-правовыми категориями «собственник», «титульный владелец», но с учетом особенностей информации как нематериального объекта – правового статуса лица, правомочного в отношении конкретной информации решать вопрос о ее получении другими лицами и о способах ее использования как им самим, так и другими лицами». Допустимо ли третьим лицам владеть, как титульным собственникам (даже условно), персональными данными, источник которых заключен в самом субъекте персональных данных? Возможен ли переход титула применительно к персональным данным? Очевидно, что концепция обладания персональными данными требует дальнейшей разработки.

Необходимо отметить, что и само определение персональных данных зачастую вводит практикующих юристов в недоумение и вызывает множество вопросов. Так, персональные данные – это любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Несмотря на кажущуюся «неудачность» такой дефиниции, стоит отметить, что это международный стандарт определения персональных данных (примерно в таком виде определение персональных данных встречается в большинстве юрисдикций).

Отказ от изложения перечня информации, относящейся к персональным данным, является результатом внедрения общепризнанного подхода в части необходимости расширения границ персональных данных. С учетом указанного подхода при оценке той или иной информации на статус ее относимости к персональным данным на первый план вышел идентифицирующий потенциал такой информации: для квалификации информации в качестве персональных данных не обязательно, чтобы ее самой по себе было достаточно для идентификации индивида.

Судебная практика

Судебная практика закрепляет именно такой, широкий подход к персональным данным. Так, персональными данными признаются:

  • сведения о биографии, навыках, профессиональных характеристиках (определение Восьмого кассационного суда общей юрисдикции от 25 февраля 2020 г. № 88–4063/2020);
  • хэш-ID пользователя (решение Арбитражного суда г. Москвы от 29 марта 2016 г. по делу № А40– 14900/2016–94–126);
  • информация о соединениях и трафике конкретного абонента (решение Арбитражного суда г. Москвы от 25 мая 2016 г. по делу № А40–51869/2016–145–449);
  • данные, собираемые сервисами «Яндекс.Метрика» и «Google Аналитика» (решение Таганского районного суда г. Москвы от 19 декабря 2018 г. № 02–4261/2018);
  • номер мобильного телефона (кассационное определение Восьмого кассационного суда общей юрисдикции от 27 февраля 2020 г. № 88А4529/2020).

Позиции Роскомнадзора

Отдельным «источником» формирования практики об определении относимости той или иной информации к персональным данным является «семинарное право» – позиции Роскомнадзора, выраженные в рамках проведения открытых семинаров. Ориентируясь на них, в настоящее время персональными данными признаны:

  • файлы Cookie;
  • адрес электронной почты гражданина;
  • история заказов гражданина даже в отсутствие его ФИО, поскольку они могут являться основой для профайлинга;
  • все государственные идентификаторы физического лица (ИНН, СНИЛС, паспортные данные);
  • сведения о зарплате.

При этом Роскомнадзор не признает в качестве персональных данных, например:

  • регистрационный номер автотранспортного средства;
  • MAC-адрес устройства;
  • абонентский номер мобильного телефона (указанная позиция расходится с позицией судов).

Таким образом, единого перечня персональных данных не существует и его создание не планируется. В такой ситуации практикующим юристам можно рекомендовать отслеживать правоприменительную практику, круглые столы и семинары Роскомнадзора, любые сомнения трактовать исходя из риск-ориентированного подхода в пользу того, что информация является персональными данными.

Изменения в законодательстве

В 2021 г. в Закон о персональных данных было введено (Федеральный закон от 30 декабря 2020 г. № 519-ФЗ) новое понятие: «персональные данные, разрешенные субъектом персональных данных для распространения» (это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных путем дачи специального согласия в соответствии с требованиями, установленными Роскомнадзором). Одновременно было исключено специальное основание для обработки общедоступных данных без согласия субъекта. Установлены требования к обработке таких данных:

  • каждый оператор несет бремя доказывания законности обработки общедоступных данных;
  • обособленный характер согласия, молчание или бездействие не считаются формой согласия;
  • возложение на оператора обязанности обеспечить возможность установления субъектом условий и запретов для обработки персональных данных определенных категорий и перечней;
  • вменение оператору обязанности обеспечить возможность отзыва субъектом согласия в любое время;
  • сведения о полученном согласии и содержащихся в нем ограничениях должны быть опубликованы оператором.

Реализация указанных норм на практике вызывает множество вопросов. При этом хозяйствующие субъекты не спешат внедрять новые положения в свои системы.

До сих пор не совсем ясно, в каких случаях требуется собирать согласия. Как быть социальным сетям? Роскомнадзор разъяснял, что сайты и сервисы, предполагающие хотя бы минимальную регистрацию для пользователей, не обязаны соблюдать новые требования, поскольку такие ресурсы не считаются ресурсами с доступом для неограниченного круга лиц. Вместе с тем практически в любом таком ресурсе существует «видимая» часть пользовательской информации, доступная любому пользователю без авторизации. Вопрос о необходимости сбора новых форм согласий для данной части информации пока остается открытым.

Однако большой круг вопросов возникает в отношении не только новых норм законодательства о персональных данных, но и тех, для которых существует обширная правоприменительная практика.

Наиболее частые ошибки

1. Не учитываются требования к согласиям – для согласий, в отношении которых предусмотрена обязательная письменная форма, должно выполняться правило: 1 цель – 1 согласие.

Например, согласий работника на обработку его персональных данных должно быть столько, сколько существует целей обработки. В среднем это 4–7 согласий от каждого работника по каждой цели обработки (в качестве самостоятельных целей необходимо выделять подбор персонала, кадровый учет и оплату труда, страхование, медицинские осмотры и безопасность труда, использование информационных технологий, маркетинг и т.д.).

2. Не учитываются основания обработки персональных данных – совмещать основания обработки не рекомендуется.

Различия в основаниях обработки персональных данных (согласие, договор, законный интерес и др.) порождают соответствующие различия в подходах к обработке персональных данных, в связи с чем целесообразно, вопервых, проанализировать деятельность хозяйствующего субъекта в целом и выделить отдельные макропроцессы, в которых происходит обработка персональных данных; вовторых, для каждого анализируемого макропроцесса определить подходящее основание для обработки персональных данных.

3. Согласия включаются в текст договоров.

Согласие на обработку персональных данных должно быть дано субъектом персональных данных свободно, своей волей и в своем интересе. Включение в текст договоров условий о согласии на обработку персональных данных лишает согласия свойства добровольности. Получение согласия от субъекта персональных данных не должно быть обусловлено его нахождением в договорных правоотношениях.

4. Неправильно организована система хранения персональных данных.

Персональные данные необходимо хранить организованно, но отдельно – в зависимости от целей обработки персональных данных – с учетом разных статусов субъектов персональных данных (например, персональные данные работников должны храниться отдельно от персональных данных клиентов; данные работников, используемые для страхования, – отдельно от данных работников, используемых для начисления заработной платы).

5. Не выполняются / отсутствуют подтверждения соблюдения требований локализации персональных данных.

Организация экономического сотрудничества и развития (далее – ОЭСР) рассматривает обязательную локализацию данных в качестве барьера для открытого интернета. ОЭСР признает, что некоторые случаи локализации данных могут быть правомерными, но подчеркивает, что все же такие требования ограничивают конкуренцию, делают интернет более закрытым, препятствуют свободе трансграничных потоков информации.

Вместе с тем Закон о персональных данных устанавливает требования по локализации персональных данных на территории Российской Федерации. Указанное означает, что оператор персональных данных должен подтвердить, что при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Содержание норм о локализации сводится к тому, что оператор должен документально подтвердить, что наиболее актуальная и полная база персональных данных физически хранится на территории РФ (договор хостинга, договор аренды места на сервере, договор о приобретении сервера и т.д.). При этом необходимо, чтобы в подобных договорах прямо обозначалось не только место, где хранится информация, но также и указывалось на то, что место используется именно для хранения персональных данных.

До настоящего времени статус облачных хранилищ-серверов не решен. Облачные сервисы могут рассматриваться не только как хранилища, но и как обработчики персональных данных, что возлагает на операторов персональных данных дополнительные обязанности. Учитывая, что взаимоотношения с облачными сервисами, как правило, основываются на договорах присоединения, формальное соблюдение законодательства о персональных данных становится практически неисполнимым, поскольку включить в такие договоры положения об обязательствах оператора и обработчика персональных данных не представляется возможным.

6. Данные обрабатываются в большем объеме, чем это действительно требуется.

Один из основных принципов обработки персональных данных – ограничение процессов обработки данных только необходимыми для конкретного макропроцесса данными. То есть нельзя собирать данные в большем объеме, чем действительно требуется.

Чтобы правильно определить объем подлежащих обработке персональных данных, необходимо проводить полноценный аудит и комплаенс всех процессов, что представляет некоторую сложность для внешних консультантов, объективно ограниченных в комплексном решении таких масштабных задач, подразумевающих «погружение» в деятельность клиента.

7. Отсутствует уведомление Роскомнадзора об обработке персональных данных.

Ситуации, предусмотренные Законом о персональных данных, при которых уведомление в Роскомнадзор направлять не нужно, являются ограниченными, и в 90% случаев хозяйствующему субъекту такое уведомление направить следует. Вместе с тем направление уведомления не только необходимо, но даже полезно, поскольку для его правильного заполнения необходимо иметь понимание основных особенностей обработки персональных данных в организации (т.е. провести хотя бы минимальный аудит процессов, связанных с персональными данными).

Безусловно, это далеко не все ошибки, допускаемые при обработке персональных данных, а лишь их малая часть. Правовые вопросы обработки персональных данных уже вышли далеко за пределы составления согласий, политик, положений на сайтах, и от практикующих юристов требуются более сложные навыки – понимание информационных потребностей бизнеса и места персональных данных в бизнесе, организация работы с персональными данными с одновременным учетом инвестиционной привлекательности персональных данных и необходимостью уважения к правам человека на приватность. В настоящее время отношение организации к персональным данным – это показатель доверия и уважения к клиентам, сотрудникам; непреложное условие для масштабирования бизнеса в европейское пространство; новый актив, определяющий место бизнеса в цифровой экономике.


1 Данные пресс-службы Фонда развития интернет-инициатив (ФРИИ) // https://www.iidf.ru/media/articles/ fond/frii-proekt-zakona-o-regulirovanii-personalnykhdannykh/ со ссылкой на международный аналитический отчет, размещенный на сайте https:// www.onaudience.com/resources/top-data-markets/